טק

העתיד של כניסות Web3 הוא...דוא"ל וסיסמה?! 

02/04/2022
חדשות Ethereum של ביטקוין

מאת איבן מנצ'ב, מנהל תקשורת ב- Ambire

אחד האתגרים לפני אימוץ רחב יותר של קריפטו ו-DeFi הוא ניהול מפתחות. למרבה ההפתעה, קונספט ה-web2 של התחברות לאימייל יכול לפתור את זה - אפילו בצורה לא משמורת.

על ביטויי זרע

  1. לבד 2. סנוור 3. טוהר 4. פנימי 5. שקרן 6. חוט. …. ???

זוכרים את הפעם הראשונה שהתבקשתם לרשום ביטוי זרע? אולי התבלבלת: 

  • למה לכתוב את זה על נייר במקום פשוט להדביק את זה ב-Notes?
  • האם תצטרך לכתוב את כל הדברים האלה כדי "להתחבר" לאפליקציות Web3 בכל פעם?
  • האם אתה יכול לשנות את המילים האלה למילים מוכרות יותר?
  • אוף, הם לא יכולים פשוט לבקש סיסמה או משהו?

ביטויי זרע הם לא כל כך גרועים אבל הם נראים מוזרים במיוחד אם אין לך מושג איך עובדת הצפנה. ולרוב האנשים אין מושג איך פועלת הצפנה. 

נכון לעכשיו, 99% ממשתמשי Web3 מתחילים מגיעים עם ניסיון ב-Web2 הנובע משנים של שימוש בדוא"ל/סיסמה כאימות עבור חשבונות ואפליקציות. ולמרות שחברות קריפטו וארנקים עושים כמיטב יכולתן כדי לחנך את המשתמשים, נראה שהבלבול הוא בלתי נמנע ופותח אינספור הזדמנויות לרמאים האורבים תמיד. 

פשוט נסה את הניסוי הזה - חפש בגוגל "Curve" או "Aave" או "Uniswap" ולחץ על תוצאת המודעה הראשונה. נסה להתחבר ותחווה את הונאת ההנדסה החברתית הנפוצה ביותר הכוללת ביטויי זרימה - אתרים המחקים את Metamask ומבקשים ממשתמשים שולל את ביטויי המקור שלהם. (למעשה אל תעשה את זה - לפחות אל תכתוב את ביטוי הזרע שלך, בבקשה!)

זה קורה כל הזמן ושנת 2021 הייתה דוגמה מדהימה לבעיה הבולטת. עם הפופולריות הגואה של NFTs, הרבה משתמשים חדשים הצטרפו למסיבת הקריפטו בשנה שעברה. כמה מהם התמזל מזלם לקנות Bored Ape Yacht Club NFT ולראות אותו מעריך פי 1000 במחיר... רק כדי שנגנבו אותו בגלל ניהול לקוי של מפתחות הארנק.

תמונה

אז למה אנחנו עדיין משתמשים בביטויים ראשוניים במקום בסיסמאות?

למרבה הצער, כתובות Ethereum נפוצות נעולות עם מפתח פרטי - מחרוזת ארוכה של טקסט. אם אתה הבעלים של המפתח שלך, אתה יכול לעשות מה שאתה רוצה עם הכתובת שלך. או שאתה שומר את המפתח שלך בקובץ ומייבא אותו כדי לפתוח ארנק, או שאתה משתמש בביטוי הזרע נמוניק. אין דרך להכניס סיסמה במקום המפתח הפרטי... 

...בסדר, יש דרך למעשה, אבל במחיר של שליטה מלאה על הארנק שלך. שירותים מסוימים שומרים את המפתחות הפרטיים עבור המשתמשים שלהם ומאפשרים להם להשתמש בסיסמאות לפתיחת הארנקים שלהם. זה מאפשר הצטרפות אבל שובר את אחד מעקרונות הליבה של ביזור וזה לא שונה בהרבה מהאופן שבו שירותים מסורתיים עובדים. השירות שבו אתה משתמש יכול לחתוך את הגישה שלך בכל רגע נתון.

אבל מה אם אגיד לך שיש בעצם דרך לפתוח את הארנק שלך באמצעות דואר אלקטרוני וסיסמה, תוך שמירה על המפתח שלך?

הנה מגיעים ארנקים חכמים

ארנקים חכמים דנו רבות בעבר: אולי שמעתם על מושג דומה שנקרא "הפשטות חשבונות". 

בעצם הרעיון הוא שכל חשבון Ethereum יהיה חוזה חכם, שפותח הרבה הזדמנויות לשפר את UX הקריפטו. לצורך מאמר זה נתמקד בניהול מפתח. 

במקום להשתמש במפתח קריפטוגרפי אחד בלבד לאבטחת חשבון, ארנקים חכמים מאפשרים שימוש במספר מפתחות באמצעות כללים מסוימים. לדוגמה, אתה יכול להגדיר חשבון שיישלט על ידי 2 מפתחות, אחד מהם הוא המכשיר הנייד שלך והשני ארנק החומרה של Trezor שלך, כאשר למכשיר הנייד יש הרשאות מוגבלות והוצאה יומית, בעוד שה-Trezor הוא בלתי מוגבל. לחלופין, אתה יכול להגדיר מה שנקרא התאוששות חברתית על ידי מתן אפשרות ל-multisig שנשלט על ידי האנשים הקרובים ביותר שלך לשחזר את חשבונך. 

במילים פשוטות, ארנקים חכמים הם חוזים חכמים שניתן לשלוט בהם על ידי יותר ממפתח קריפטוגרפי אחד - זה "מבזר" את הגישה לארנק ומאפשר הגדרות שונות בהן ניתן לשנות את חווית המשתמש בכניסה.

כפי שאולי ניחשתם בשלב זה, אחד מהם משתמש בדוא"ל ובסיסמה. 

כיצד לבנות ארנק חכם ללא משמורת עם רישום דואר אלקטרוני וסיסמא

אנחנו כבר יודעים שניתן לשלוט בארנק חוזים חכם על ידי שני מפתחות או יותר. בעת יצירת ארנק Ambire, החלטנו להתבסס על תכונה זו ולאפשר רישום דוא"ל/סיסמה מבלי לפגוע בבעלות המשתמש על החשבון. 

Ambire מיישמת אימות מסורתי עם אימייל וסיסמה כמו אפליקציות Web2. מצב אימות זה אינו משמורת: הוא פועל באמצעות מולטי-סיג דו-מפתח בשרשרת. אחד מהמפתחות מאוחסן באחסון הדפדפן ומוצפן בסיסמת המשתמש, והמפתח השני מאוחסן ב-backend שלנו באמצעות מודל אבטחת חומרה (HSM).

אינך יכול לגשת לכספים רק באמצעות אחד משני המפתחות, למשל אם אתה תוקף שסכן בהצלחה משתמש (למשל באמצעות תוכנה זדונית) או ה-HSM. 

עם זאת, ניתן להתחיל הליך שחזור באמצעות מפתח אחד בלבד. הליך השחזור הוא שינוי נעול בזמן של אחד משני המפתחות. אם הליך השחזור היה לא מכוון (למשל יזם על ידי תוקף), כל בעל מפתח אחר יכול לבטל אותו. אבל אם זה הופעל באופן לגיטימי (למשל אם איבדת את אחד משני המפתחות או שכחת את הסיסמה שלך), אתה יכול פשוט לחכות לנעילת הזמן, ולאחר מכן תהיה לך גישה לחשבון שלך בחזרה.

לסיכום, חשבונות דואר אלקטרוני/סיסמא הם ארנקים מרובי חתימות, שפותחים את הנעילה:

  • כאשר מסופקות 2 חתימות - משמש במצב פעולה רגיל; אוֹ
  • כאשר מסופקת חתימה אחת, אך עם מנעול זמן; משמש לשחזור סיסמה, או במקרה שה-backend של Ambire לא זמין.

המפתח השני נעול בדרך כלל על ידי קוד אישור ספציפי (שנגזר מ-hash של) העסקה, אך ניתן להשתמש בשיטות אימות אחרות כגון OTP 2FA או FaceID.

יתרון נוסף של המודל הזה הוא שהמפתח השני יכול לאכוף כללי אבטחה נוספים כמו מגבלות הוצאות ובדיקת חוזים זדוניים או שיחות (למשל אישורים אינסופיים ל-EOAs). מכיוון שחוקים אלה נבדקים מחוץ לשרשרת על ידי ה-HSM, ניתן לשנות אותם או לשפר אותם בקלות. יתר על כן, ניתן לבצע בדיקות מתוחכמות ללא עלות גז נוספת, מה שמאפשר שימוש ב-AI או ML בעתיד.

אם אתה סקרן ללמוד עוד על זה, אתה צריך לבדוק את מודל האבטחה של אמבייר ארנק.

איך הולך

שחררנו את ארנק Ambire בדצמבר לאחר חודשיים של בדיקה מהירה של מודל האבטחה שלנו. יותר מ-45,000 משתמשים נרשמו מאז ומעולם ונחשו מה - רוב החשבונות נשלטים באמצעות דואר אלקטרוני וסיסמה. כרגע אנחנו עובדים על שחרור גרסה ניידת של הארנק ל-iOS ולאנדרואיד במחצית הראשונה של השנה. זה יהיה המבחן האמיתי של מודל רישום הדוא"ל+סיסמה מכיוון שאנו מצפים למשוך אנשים שאין להם ניסיון קודם ב-Web3. 

אם אתה מעוניין לנסות את ארנק Ambire, עבור אל https://www.ambire.com/ וצור את החשבון שלך תוך פחות מדקה.

מקור: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password